GitHub将要求所有代码贡献者使用双因素身份验证

全球数千万软件开发人员使用的代码托管平台GitHub今天宣布，所有将代码上传到网站的用户都需要在2023年底前启用一种或多种形式的双因素身份验证（2FA），才能继续使用该平台。

GitHub首席安全官（CSO）MikeHanley周三在一篇博客文章中宣布了这项新政策，强调了微软拥有的平台在面对接管开发人员帐户的不良行为所造成的威胁时，在保护软件开发过程完整性方面的作用。

汉利写道：“软件供应链从开发人员开始”。“开发人员帐户是社会工程和帐户接管的常见目标，保护开发人员免受此类攻击是确保供应链安全的第一步也是最关键的一步”。

尽管多因素身份验证为在线账户提供了显著的额外保护，但GitHub的内部研究表明，目前只有约16.5%的活跃用户（约六分之一）在其账户上启用了增强的安全措施，这一数字低得惊人，因为该平台的用户群应该意识到仅使用密码保护的风险。

软件供应链从开发人员开始

Hanley告诉记者，GitHub希望通过引导这些用户达到更高的最低帐户保护标准，提高整个软件开发社区的整体安全性科技博客。

Hanley说：“GitHub在这里处于独特的地位，这正是由于GitHub.com上的绝大多数开源社区和创建者社区，我们可以从安全卫生的角度提高标准，从而对整个生态系统的安全产生重大的积极影响”。“我们觉得这真的是我们能够提供的最好的全生态系统效益之一，我们致力于确保克服任何挑战或障碍，确保成功采用”。

GitHub已经为在较小的平台用户群中强制使用2FA建立了先例，并与通过包管理软件NPM分发的流行JavaScript库的贡献者进行了试用。由于广泛使用的NPM软件包每周可以下载数百万次，因此它们成为恶意软件团伙非常有吸引力的目标。在某些情况下，黑客破坏了NPM贡献者帐户，并利用这些帐户发布安装了密码窃取者和加密矿工的软件更新。

作为回应，GitHub规定，截至2022年2月，100个最流行的NPM包的维护人员必须进行双因素身份验证。该公司计划在5月底前将同样的要求扩大到前500名软件包的贡献者。

汉利说，这项规模较小的试验的见解将用于理顺跨平台推出2FA的过程。“我认为我们已经在NPM上完成了这项工作，这对我们来说是一个很大的好处，”他说。“我们从那次经历中学到了很多东西，从与我们交谈过的开发人员和创建者社区得到的反馈来看，我们还就他们的良好做法进行了非常积极的对话。”

汉利说，从广义上讲，这意味着为在整个网站范围内强制使用2FA设定一个较长的交付周期，并设计一系列入职流程，以推动用户在2024年截止日期之前就采用2FA。

保护开源软件仍然是软件行业迫切关注的问题，尤其是在去年的log4j漏洞之后。但尽管GitHub的新政策将缓解一些威胁，但系统性挑战依然存在：许多开源软件项目仍然由无偿志愿者维护，填补资金缺口被视为整个科技行业的一个主要问题。